ΡΟΉ ΑΝΑΡΤΉΣΕΩΝ$type=carousel$sn=0$cols=4$va=0$count=12$show=post

$type=ticker$count=12$cols=4$cate=0$sn=0$show=home

$type=slider$m=0$rm=hide$cate=1$c=8$show=home

Συναγερμός για νέο επικίνδυνο ιό στο Facebook

SHARE:


Ένα μήνυμα από έναν φίλο μας, μας ενημέρωσε για μια νέα απειλή (Trojan) κυκλοφορεί στο Facebook. Χρησιμοποιώντας την υπηρεσία προσωπικών μηνυμάτων του κοινωνικού δικτύου, οι απατεώνες προσπαθούν να πλασάρουν trοjans στους ανυποψίαστους χρήστες.

Ο φίλος μας από το safer-internet.gr, μας έστειλε δύο διαφορετικές εικόνες από μηνύματα του Facebook. Τα μηνύματα αναφέρουν κάτι σαν «δες το και μην το πεις σε κανέναν» και περιέχουν δύο αρχεία .rar με διαφορετικό όνομα:

Ζητήσαμε τα αρχεία για να τα αναλύσουμε και φυσικά δεν περιείχε κάτι να δούμε. Αν και τα δύο rar είχαν διαφορετικό όνομα το εκτελέσιμο αρχείο που περιείχαν ήταν ακριβώς το ίδιο (ίδιο CRC Checksum.)


και το όνομα αυτού: Watch This!!!.vbs

Τα εκτελέσιμα αρχεία ήταν μορφής .vbs. Η vbscript είναι μια γλώσσα scripting (σεναρίου όπως το μεταφράζουν) και έρχεται μαζί με τα Windows. Με αυτή μπορείς να κάνεις διάφορα χρήσιμα πράγματα, όπως έχετε διαπιστώσει και από τηνκατηγορία Tweaks του iGuRu.gr, αλλά μπορείς να γράψεις και trοjans.

To script που περιείχαν τα 2 rar είχαν το TrοjanDownloader.Agent.NJV trοjan που έχει ευρετηριαστεί από την ESET στις 11 Φεβρουαρίου του 2012.
Τι κάνει ένα Trοjan Downloader;

Ένα Trοjan downloader με το που τρέξει στον υπολογιστή του θύματος, αναζητά πρόσβαση σε έναν απομακρυσμένο υπολογιστή για να κατεβάσει αρχεία που στη συνέχεια εγκαθιστά στον υπολογιστή που έχει μολυνθεί.

Το συγκεκριμένο Trοjan, TrοjanDownloader.Agent.NJV trojan,είναι παλιό και έτσι είναι άμεσα αναγνωρίσιμο από τα antivirus, αν φυσικά τα έχετε ενημερώσει.

Περιττό να σας πούμε ότι δεν ανοίγετε αρχεία zip, rar που δεν τα περιμένετε και σας έρχονται σε μηνύματα, ακόμα και αν γνωρίζετε αυτόν που σας το έστειλε.

Αν έχετε τρέχει ήδη το αρχείο και δεν το έχει «χτυπήσει» to antivirus που χρησιμοποιείτε αλλάξτε ή ενημερώστε την εφαρμογή ασφαλείας σας.

Update:

Ενώ τα κακόβουλα μηνύματα συνεχίζονται να έρχονται στο Facebook. αποφασίσαμε να ανοίξουμε το script για μια περαιτέρω ανάλυση.

Όλα τα κακόβουλα links φαίνεται να οδηγούν στον ίδιο server ο οποίος προφανώς έχει παραβιαστεί.

Δείτε 3 από τα domains







Η ομάδα του iGuRu.gr ενημέρωσε τον ιδιοκτήτη του server για να πάρει τα απαραίτητα μέτρα.

Όλες οι κακόβουλες διευθύνσεις συμπεριλαμβάνονται στην παρακάτω φωτογραφία όπως αναγράφονται στο script

Πιστεύουμε ότι ο κακόβουλος χρήστης είναι Έλληνας καθώς υπάρχουν κακόβουλα αρχεία με Ελληνικά ονόματα, όπως πχ το . /vasika/kalisperasas.zip. Επίσης ο φάκελος που κάνει επίσης για να κατεβάσει τα κακόβουλα αρχεία ονομάζεται από τον κακόβουλο χρήστη «\MyFolderakis.»

Μετά την εγκατάσταση φτιάχνει το παραπάνω φάκελο στον υπολογιστή του θύματος, κατεβάζει το content.zip που περιέχει ένα . jar αρχείο.


download(csPATH)
Unzip csPATH &»\content.zip«, csPATH
Loop While ReportFileStatus(csPATH &»\sapsalo.jar

Εφόσον κατεβάσει το content.zip και τρέξει το jar (ενώ το vbs script τρέχει μόνο σε Windows,, το jar τρέχει σε Windows. Mac και Linux) αρχίζει να κατεβάζει όλα τα άλλα κακόβουλα αρχεία, από τα links που δώσαμε παραπάνω.

Προσοχή, καθώς δεν κατεβάσαμε τα παραπάνω αρεί και δεν γνωρίζουμε τι περιέχουν.

COMMENTS

BLOGGER: 1
Loading...

Αξίζει να το δεις$type=one$count=1$va=1$icon=show$source=random$snippet=hide$meta=hide$readmore=0

Αρχαία Ελλάδα$type=one$count=1$va=true$icon=show$source=random$snippet=hide$meta=hide$readmore=0

/fa-clock-o/ ΒΔΟΜΑΔΑ$type=one$snippet=46

Όνομα

Αγρογλυφικά,59,ΑΕΡΟΨΕΚΑΣΜΟΙ,195,Αμφίπολη,9,Ανακαλύψεις,274,ΑΝΕΞΗΓΗΤΑ ΦΑΙΝΟΜΕΝΑ,398,Αξίζει να το δεις,702,Αποκαλύψεις,308,Αποστολή «Ροζέτα»,1,ΑΡΤΕΜΗΣ ΣΩΡΡΑΣ,4,Αρχαία Ελλάδα,55,Αρχαίοι Έλληνες,23,ΑΡΧΑΙΟΙ ΕΞΩΓΗΪΝΟΙ-ΝΤΟΚΙΜΑΝΤΕΡ,88,ΔΗΜΟΣΚΟΠΗΣΕΙΣ,2,Διαστημα,175,Διάφορα,562,ΕΚΠΟΜΠΕΣ,10,Ελλάδα,493,Εξηγώντας τα Μυστήρια,3,ΕΞΩΓΗΙΝΟΙ,424,ΕΠΙΚΑΙΡΟΤΗΤΑ,402,ΕΠΙΣΤΗΜΗ,203,ΕΠΙΣΤΗΜΗ-ΔΙΑΣΤΗΜΑ,600,ΕΡΕΥΝΑ,41,ΕΡΤ,1,Ήλιος,84,Θεωρίες,94,ΙΣΤΟΡΙΑ,22,ΙΣΤΟΡΙΕΣ-ΜΥΘΟΙ,106,ΚΟΣΜΟΣ,327,Κώδικας Μυστηρίων,4,Μαγεία,23,ΜΕΤΑΦΥΣΙΚΟ,237,Μήπως μας κρύβουν κάτι,273,ΜΥΣΤΗΡΙΑ,665,ΜΥΣΤΙΚΕΣ ΣΥΝΟΜΩΣΙΕΣ,465,Νέα Τάξη Πραγμάτων,342,ΝΤΟΚΙΜΑΝΤΕΡ,208,Πέτρος Ζωγράφος,6,Προβλέψεις,81,Προφητείες,35,Σαν σήμερα,50,Σελήνη,40,Στρατιωτικά,98,Τα άρθρα μας,527,Τεχνολογία,88,Υγεία,197,ΦΙΛΟΣΟΦΙΑ,10,ΦΥΣΙΚΑ ΦΑΙΝΟΜΕΝΑ,175,Φωτογραφία της ημέρας,1,Ψυχολογία,37,AΡΧΑΙΟΤΗΤΑ-ΕΝΕΡΓΕΙΑΚΟΙ,10,AΡΧΑΙΟΤΗΤΑ-ΕΝΕΡΓΕΙΑΚΟΙ ΤΟΠΟΙ,533,AfterDark Project,11,Curiosity,80,Ghost Adventures Team,4,Greek Paranormal Society,9,illuminati,4,ISS,41,Nasa,171,UFO,528,Uncovering Aliens,1,VIDEO,922,X-FILES,5,
ltr
item
ANEΞΗΓΗΤΑ-ΦΑΙΝΟΜΕΝΑ: Συναγερμός για νέο επικίνδυνο ιό στο Facebook
Συναγερμός για νέο επικίνδυνο ιό στο Facebook
Συναγερμός για νέο επικίνδυνο ιό στο Facebook
https://images-blogger-opensocial.googleusercontent.com/gadgets/proxy?url=http%3A%2F%2F3.bp.blogspot.com%2F-IWlwGx43C1k%2FU16fJxOkmuI%2FAAAAAAAAEhg%2FflSulvO1x10%2Fs1600%2Ffacebook-virus1.jpg&container=blogger&gadget=a&rewriteMime=image%2F*
ANEΞΗΓΗΤΑ-ΦΑΙΝΟΜΕΝΑ
http://aneksigita-fainomena.blogspot.com/2014/04/synagermos-gia-neo-epikindyno-io-sto-facebook.html
http://aneksigita-fainomena.blogspot.com/
http://aneksigita-fainomena.blogspot.com/
http://aneksigita-fainomena.blogspot.com/2014/04/synagermos-gia-neo-epikindyno-io-sto-facebook.html
true
8235600035096952317
UTF-8
Loaded All Posts Not found any posts VIEW ALL Διαβάστε περισσότερα Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE Αναζήτηση ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS CONTENT IS PREMIUM Please share to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy